Backdoor nei sistemi crittografici: paranoia o incoscienza?
Tesi
Se la finestra non si espande in fullscreen cliccare qui.
Abstract
MASTER UNIVERSITARIO di II Livello in HOMELAND SECURITY, Università Campus Bio-Medico di Roma, Consorzio NITEL
TESI: Backdoor nei sistemi crittografici: paranoia o incoscienza?
Relatore: Ing. Gianluca CARICATO
Tuto: Dott. Ing. Simone TACCONI
Anno Accademico: 2014 – 2015
SOMMARIO
1. INTRODUZIONE . 5
2. CRITTOLOGIA, CRITTOGRAFIA E CRITTOANALISI . 7
2.1 Crittografia . 7
2.1.1 Gli standard ISO/IEC, NIST ed ANSI . 8
2.1.2 Algoritmi di cifratura . 10
2.1.2.1 Algoritmi di cifratura simmetrici (a chiave segreta) . 10
2.1.2.2 Algoritmi di cifratura asimmetrici (a chiave pubblica) . 11
2.1.3 Algoritmi di hashing . 13
2.1.4 Message Authentication Codes (MAC) . 14
2.1.5 Algoritmi di firma digitale . 15
2.1.6 Meccanismi per lo scambio delle chiavi . 15
2.1.7 Random Bit/Number Generator (RBG/RNG) . 16
2.2 Crittoanalisi . 18
2.3 Sicurezza degli strumenti crittografici . 19
2.3.1 Robustezza degli algoritmi crittografici . 20
2.3.2 Lunghezza chiavi . 21
2.3.3 Durata delle chiavi (crittoperiodo) . 22
2.3.4 Generazione delle chiavi . 23
2.3.5 Gestione delle chiavi . 24
2.3.6 Implementazione dell’algoritmo . 24
2.3.7 Contesto operativo . 25
3. BACKDOOR NEGLI ALGORITMI CRITTOGRAFICI . 26
3.1 Focus dell’analisi . 26
3.1.1 CryptoTrojan . 26
3.1.2 Subliminal channel . 27
3.2 Backdoor nella generazione delle chiavi RSA . 29
3.2.1 L’algoritmo RSA . 29
3.2.1.1 Generazione delle chiavi . 30
3.2.1.2 Operazioni di cifratura e decifratura . 31
3.2.1.3 La sicurezza di RSA . 32
3.2.1.4 Attacchi ad RSA . 33
3.2.2 Tipologie di backdoor RSA . 33
3.2.3 La backdoor di Yung e Young . 35
3.3 Il caso dell’algoritmo Dual_EC_DRBG . 38
3.3.1 Lo standard NIST SP 800-90 . 38
3.3.2 Possibile backdoor ? 39
3.4 Considerazioni . 41
4. ANALISI QUALITATIVA DEL RISCHIO . 43
4.1 Introduzione . 43
.2 Da chi dobbiamo difenderci ? . 44
4.3 E’ probabile subire un attacco ? . 44
4.3.1 Fattori deterrenti . 45
4.3.2 Contesto organizzativo . 45
4.4 Che impatto avrebbe un attacco ? . 46
4.5 Strategia per il trattamento del rischio . 46
5. INTERVENTI PER MITIGARE IL RISCHIO . 48
5.1 Tipi di contromisure impiegabili . 48
5.1.1 Gli standard ISO/IEC 27001 e 27002 . 48
5.1.2 Obiettivi di controllo e controlli applicabili . 49
5.1.2.1 Beneficio 1 – Corretta gestione della sicurezza . 49
5.1.2.2 Beneficio 2 – Responsabilizzare ed informare il personale . 50
5.1.2.3 Beneficio 3 – Integrità del codice sorgente . 51
5.1.2.4 Beneficio 4 – Uso corretto degli strumenti crittografici . 51
5.1.2.5 Beneficio 5 – Controllo del software in esercizio . 52
5.1.2.6 Beneficio 6 – Security by design . 53
5.1.2.7 Beneficio 7 – Monitoraggio . 54
5.1.2.8 Beneficio 8 – Compliance . 55
5.1.3 Indicazioni di dettaglio (ISO 27002) . 56
5.1.3.1 Controlli crittografici . 56
5.1.3.2 Controlli per la verifica e validazione dei sistemi . 57
5.2 Obblighi di test e validazione dei sistemi crittografici . 57
5.2.1 Trattamento di informazioni non classificate . 59
5.2.1.1 Schema nazionale di valutazione e certificazione della sicurezza ICT . 59
5.2.1.2 Obblighi specifici per i dispositivi per la firma digitale . 64
5.2.1.3 Lo standard NIST FIPS 140-2 . 64
5.2.2 Piano e quadro strategico nazionale cyber . 71
5.2.3 Trattamento di informazioni classificate . 74
5.2.3.1 Lo schema di certificazione per la sicurezza nazionale . 74
5.2.3.2 Prodotti EAD, COMSEC e TEMPEST . 75
5.2.3.3 Trattazione informatica di informazioni classificate “riservato” . 78
5.2.4 Gli standard di valutazione: Common Criteria (ISO/IEC 15408) ed ITSEC . 78
6. CONCLUSIONI . 81
AUTORE
Gianluca CARICATO
Laureato con lode in Ingegneria delle Telecomunicazioni presso l’università di Roma Tor Vergata, è da novembre 2011 Funzionario dei ruoli tecnici della Polizia di Stato in servizio presso la Direzione Centrale dei Servizi Tecnico Logistici e della Gestione Patrimoniale, con incarichi inerenti l’estensione sul territorio nazionale della rete digitale PMR per le esigenze delle Forze di Polizia, l’informatizzazione dei processi logistici dipartimentali della Polizia di Stato, e la gestione dei sistemi IT e della sicurezza “logica” della Direzione Centrale di appartenenza.
Precedentemente, ha svolto per oltre 5 anni attività di consulenza per ValueTeam/NTT Data S.p.A. in ambito sicurezza informatica per primarie aziende di Telecomunicazioni e Gruppi Bancari italiani, occupandosi principalmente di gestione del rischio e progettazione di sistemi di sicurezza logica, e specializzandosi nei seguenti ambiti: gestione delle identità e controllo accessi, data confidentiality, log management.
Ha conseguito con lode il Master universitario di 2° Livello in “Ingegneria Gestionale per la Pubblica Sicurezza” (univ. Federico II di Napoli), ed il Master universitario di 2° livello in “Homeland Security – Sistemi, metodi e strumenti per la Security e il Crisis Management” (univ. Campus Bio-Medico di Roma).
È certificato CISSP© (dal 2010 – ID number 329360) e CISM© (dal 2011 – ID number 1118124), certificazioni tuttora mantenute valide, oltre che PRINCE2© Foundation, CFPS 4.3 ed EJLog.
Internet of Things: Sicurezza e Privacy
Tesi
Se la finestra non si espande in fullscreen cliccare qui.
Abstract
MASTER UNIVERSITARIO di II Livello in HOMELAND SECURITY, Università Campus Bio-Medico di Roma, Consorzio NITEL
TESI: Internet of Things: Sicurezza e Privacy
Relatore: Candidato: Massimo SORICE
Ch.mo Prof. Roberto SETOLA
Anno Accademico: 2014 – 2015
SOMMARIO
INTRODUZIONE
CAPITOLO 1 – L’INTERNET OF THINGS
1.1 LE 12 “DISRUPTIVE TECHNOLOGIES”
1.2 COS’È L’INTERNET OF THINGS
1.3 EVOLUZIONE DELL’IOT
1.4 IIOT – INDUSTRIAL INTERNET OF THINGS
1.5 GLI AMBITI APPLICATIVI IN ITALIA
1.6 LE TECNOLOGIE ABILITANTI
1.7 LA COMUNICAZIONE IN RETE – IPV6
CAPITOLO 2 – SICUREZZA
2.1 LE TIPOLOGIE DI MINACCIA
2.2 I PROBLEMI DI SICUREZZA
2.3 SECURITY BY DESIGN
2.4 THINGBOTS E DOMOTICA
CAPITOLO 3 – PRIVACY
3.1 PROBLEMI DI PRIVACY
3.2 PARERE N. 8/2014 IN MATERIA DI INTERNET DELLE COSE
3.3 CONSULTAZIONE SU IOT DEL GARANTE DELLA PRIVACY (G.U. N. 101 DEL 4/5/2015)
3.4 PRIVACY BY DESIGN
CONCLUSION
BIBLIOGRAFIA
SITOGRAFIA
RINGRAZIAMENTI
AUTORE
MASSIMO SORICE
Massimo Sorice ha frequentato l’Università degli Studi di Cassino e del Lazio Meridionale conseguendo la laurea specialistica in Economia, Management e Finanza d’Impresa con una tesi dal titolo “Exit, Voice & Loyalty sui social network”. Nel 2015 ha conseguito, presso l’Università Campus Bio-Medico di Roma, il master di 2° livello dal titolo “Homeland Security – Sistemi, metodi e strumenti per la security e il crisis management”.
Dal 1995 è nel mondo dell’Information and Communications Technology, dapprima attraverso società del gruppo IBM Italia, successivamente nella Pubblica Amministrazione, maturando una significativa esperienza professionale nell’analisi e nella progettazione di sistemi Web. E’ esperto di modelli di processo prescrittivi ed in particolare del processo unificato di sviluppo software.
I Compro Oro
ISBN: 978-88-941061-2-1
Se la finestra non si espande in fullscreen cliccare qui.
SOMMARIO
Introduzione , 7
Capitolo 1 – Sviluppo del settore , 9
Capitolo 2 – Disciplina dell’attività commerciale,16
Capitolo 3 – Irregolarità riscontrabili nello svolgimento dell’attività commerciale, 40
Capitolo 4 – Crimine organizzato e reati connessi ai “Compro Oro”, 44
Capitolo 5 – Crisi economica e crisi dei “Compro Oro”, 59
Capitolo 6 – Future implementazioni normative, 61
Autori, 65
INTRODUZIONE
Il crimine organizzato, in ogni periodo della storia, ha sempre avuto grande dimestichezza con gli intrecci economici, finanziari e societari nonché una straordinaria capacità di adeguarsi repentinamente alle tendenze dell’economia e della società.
Le attività da esse privilegiate consentono una forte circolazione del denaro, richiedono apporto di capitali ma uno scarso know-how gestionale, intervengono nei settori su cui sono consolidate le capacità di condizionamento del mercato.
Un fenomeno emergente a partire dal 2008, dalle caratteristiche sopra elencate, è la nuova realtà economica nel settore del commercio dell’oro, i c.d. “Compro Oro”: vere e proprie attività commerciali che acquistano metalli preziosi e, in cambio, offrono denaro contante ovvero un illusorio guadagno economico immediato. Il fenomeno ha assunto proporzioni notevoli, consentendo a questo modello commerciale di raggiungere ogni angolo della nostra nazione, fino ad arrivare a livelli numerici considerevoli ed affermarsi, nello scenario socio-economico degli ultimi tempi, come una realtà commerciale diffusa.
AUTORI
Maurizio TALIANO
Tenente Colonnello dell’Arma dei Carabinieri, ha frequentato la Scuola Militare Nunziatella, l’Accademia Militare e la Scuola Ufficiali nonché molteplici corsi di formazione tra i quali quelli in tema di coordinamento delle FF.PP. presso la Scuola di Perfezionamento per le Forze di Polizia, di metodologia didattica e per formatori di Ufficiali di Polizia Giudiziaria. Laureato in Scienze Politiche e in Scienze della Sicurezza Interna ed Esterna.
Ha avuto esperienze professionali nell’organizzazione mobile, territoriale ed addestrativa. Da numerosi anni svolge attività di docenza presso il 1° Reggimento Allievi Marescialli e Brigadieri dei Carabinieri. È cultore della materia “Diritto di polizia”.
Ha svolto corsi anche nelle materie “Polizia militare” e “Diritto internazionale dei diritti umani” applicato alle attività istituzionali delle Forze di polizia.
Davide ACQUAVIVA
Tenente dell’Arma dei Carabinieri. Ha frequentato la Scuola Navale Militare “Francesco Morosini” di Venezia, l’Accademia Militare di Modena e la Scuola Ufficiali Carabinieri di Roma nonché molteplici corsi di formazione tra i quali quelli in tema di misure di prevenzione personali e patrimoniali, di scioglimento dei comuni ex-art. 143, D. Lgs 18 agosto 2000, n. 267 nonché di formatori di Ufficiali di Polizia Giudiziaria.
Laureato con lode in Giurisprudenza, ha ricoperto l’incarico quale Comandante di Plotone ed Insegnante di Polizia Militare presso il 1° Reggimento Allievi Marescialli e Brigadieri dei Carabinieri di Velletri (RM).
Attualmente è Comandante del Nucleo Operativo e Radiomobile della Compagnia Carabinieri di Torre Annunziata (NA).
Storia della Privacy
ISBN: 978-88-941061-5-2
Se la finestra non si espande in fullscreen cliccare qui.
ABSTRACT
L’e-book si pone l’obiettivo di analizzare le origini del concetto di riservatezza (o privacy) approfondendo la relativa evoluzione di carattere storico e nello stesso tempo anche concettuale.
Come è noto la privacy è un termine inglese traducibile all’incirca con riservatezza, è il diritto alla riservatezza delle informazioni personali e della propria vita privata: the right to be let alone (lett. “il diritto di essere lasciati in pace”), secondo la formulazione del giurista statunitense Louis Brandeis che fu probabilmente il primo al mondo a formulare una legge sulla riservatezza.
In realtà comunemente per privacy si intende il diritto della persona di impedire che le informazioni che la riguardano vengano trattate da altri, a meno che il soggetto non abbia volontariamente prestato il proprio consenso.
Con l’introduzione dei primi strumenti tecnologici gli studiosi si sono posti il problema della necessità o meno di una specifica tutela avuto riguardo al rapporto tra “riservatezza-computer”; l’impiego dell’elaboratore elettronico, infatti, consente di impadronirsi ed archiviare informazioni che riguardano l’individuo, comprese quelle della sua vita privata sottoponendolo, così, ad una nuova forma di dominio, che si potrebbe chiamare “il potere informatico”.
Il “right to privacy” ha quindi acquistato un nuovo significato ed una nuova ampiezza, che non poteva avere secoli fa: questo ora consiste nel diritto, riconosciuto al cittadino, di esercitare anche un controllo sull’uso dei propri dati personali inseriti in un archivio elettronico.
Il diritto alla riservatezza, per effetto della nuova dimensione acquisita, non viene, infatti, più inteso in un senso puramente negativo, come facoltà di ripulsa delle intromissioni di estranei nella vita privata, o di rifiutare il consenso alla diffusione di informazioni sul proprio conto, di rinuncia alla partecipazione nella vita sociale; ma in senso positivo, come affermazione della libertà e dignità della persona, e come potere di limitare il potere informatico, controllandone i mezzi ed i fini.
Si è concepita così una nuova dimensione della privacy grazie allo sviluppo del progresso tecnologico e delle comunicazioni elettroniche. Naturalmente questa evoluzione si è ottenuta lentamente nel tempo ed attraverso la presente opera si cerca di tracciare e documentare l’iter evolutivo della riservatezza passando attraverso i secoli e le aree geografiche senza dimenticare ovviamente il nostro paese.
SOMMARIO
Introduzione, 7
Capitolo 1 – Le origini del concetto di privacy, 9
Capitolo 2 – L’evoluzione della privacy negli Stati Uniti, 26
Capitolo 3 – Primi passi verso la riservatezza nei paesi europei, 42
Capitolo 4 – La privacy in Italia e l’impulso comunitario, 49
Capitolo 5 – Verso una nuova evoluzione della riservatezza, 70
Autori, 75
AUTORI
Michele IASELLI
Vicedirigente del Ministero della Difesa presso il 10° Reparto Infrastrutture con incarico di Capo Ufficio Demanio e Servitù Militari a Napoli.
Collaboratore della cattedra di logica ed informatica giuridica presso l’Università degli Studi di Napoli Federico II. Docente a contratto di informatica giuridica alla LUISS, facoltà di giurisprudenza. Specializzato presso l’Università degli Studi di Napoli Federico II in “Tecniche e Metodologie informatiche giuridiche”. Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP).
Relatore di numerosi convegni, ha pubblicato diverse monografie o contribuito ad opere collettanee in materia di informatica giuridica e diritto dell’informatica con le principali case editrici.
Stefano GORLA
Stefano Gorla è nato a Milano, (classe 1962) milanese doc, si è laureato in fisica nucleare presso l’Università di Padova.
Ha insegnato per qualche anno Matematica e Fisica presso alcuni licei. È felicemente sposato con Cinzia con due bellissimi bambini Andrea e Luca.
Attualmente è Referente Privacy (DPO) c/o una primaria società di consulenza. Consulente e formatore in ambito sicurezza e tutela del dato personale. Delegato regionale per la Lombardia di ANDIP (Associazione Nazionale per la Difesa della Privacy), e Esaminatore/Componente commissione Deliberante CERSA per lo schema Privacy, relatore in numerosi convegni.
Ha maturato notevoli esperienze come Referente Privacy (DPO) e Energy Manager c/o un grosso gruppo multinazionale del settore Automotive, Responsabile Qualità e Ambiente c/o aziende nei settori servizi e precedentemente come Qualità System Manager e Responsabile di un laboratorio di ricerca/linea pilota per componenti optoelettronici. È autore di varie pubblicazioni sul tema su riviste specializzate, autore di libri di privacy, energia, astronomia, cosmologia, arco e golf.